CN110955895A - 一种操作拦截方法、装置及计算机可读存储介质 - Google Patents
一种操作拦截方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110955895A CN110955895A CN201911206755.6A CN201911206755A CN110955895A CN 110955895 A CN110955895 A CN 110955895A CN 201911206755 A CN201911206755 A CN 201911206755A CN 110955895 A CN110955895 A CN 110955895A
- Authority
- CN
- China
- Prior art keywords
- user
- income
- operations
- accumulated
- samples
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012549 training Methods 0.000 claims description 53
- 238000012544 monitoring process Methods 0.000 claims description 15
- 230000006399 behavior Effects 0.000 claims description 14
- 230000015654 memory Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开一种操作拦截方法、装置及计算机可读存储介质,用于解决安全应用检测到操作后输出用于提示用户是否执行这个操作的提示信息时,由于大部分用户并不清楚该操作的作用,因此,无法给出准确的结果,以致无法起到安全保护的问题,该方法包括:在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,第一操作对应的用户收益为第一操作被执行后用户能够得到的收益,累加用户收益为第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加和;计算第一用户收益与累加用户收益之和,得到系统收益;在系统收益小于系统阈值的情况下,拦截第一操作的执行。实施本发明实施例,可以提高安全性。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种操作拦截方法、装置及计算机可读存储介质。
背景技术
随着计算机技术的不断发展,病毒等恶意样本的种类和数量越来越多。目前,安全应用为了保护设备的安全性,在检测到操作的情况下,可以输出用于提示用户是否执行这个操作的提示信息,由用户根据提示信息确定是否执行。然而,上述方式中,由于大部分用户并不清楚该操作的作用,因此,无法给出准确的结果,以致无法起到安全保护的作用。
发明内容
本发明实施例公开一种操作拦截方法、装置及计算机可读存储介质,用于解决安全应用检测到操作后输出用于提示用户是否执行这个操作的提示信息时,由于大部分用户并不清楚该操作的作用,因此,无法给出准确的结果,以致无法起到安全保护的作用的问题。
本发明实施例第一方面公开一种操作拦截方法,包括:
在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,所述第一操作对应的用户收益为所述第一操作被执行后用户能够得到的收益,所述累加用户收益为所述第一操作对应的样本中所述第一操作之前被执行的操作对应的用户收益的累加和;
计算所述第一用户收益与所述累加用户收益之和,得到系统收益;
在所述系统收益小于系统阈值的情况下,拦截所述第一操作的执行。
作为一种可能的实现方式,在监测到第一操作的情况下,所述方法还包括:
确定电子设备的当前使用场景;
根据使用场景与系统阈值的对应关系,获取所述当前使用场景对应的系统阈值。
作为一种可能的实现方式,所述监测到第一操作之前,所述方法还包括:
设置所有操作中每个操作对应的用户收益。
作为一种可能的实现方式,所述设置所有操作中每个操作对应的用户收益包括:
获取训练样本,所述训练样本包括多个恶意样本和多个非恶意样本;
提取所述训练样本包括的所有操作;
监测所述训练样本的执行过程,得到所述所有操作中每个操作出现在所述多个恶意样本和所述多个非恶意样本中的次数;
根据所述所有操作中每个操作出现在所述多个恶意样本和所述多个非恶意样本中的次数,计算所述所有操作中每个操作对应的用户收益。
作为一种可能的实现方式,所述提取所述训练样本包括的所有操作包括:
分析所述训练样本,得到所有行为链;
根据所述所有行为链监测所述训练样本的执行,得到执行链;
提取所述执行链包括的操作,得到所述训练样本包括的所有操作。
本发明实施例第二方面公开一种操作拦截装置,包括:
获取单元,用于在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,所述第一操作对应的用户收益为所述第一操作被执行后用户能够得到的收益,所述累加用户收益为所述第一操作对应的样本中所述第一操作之前被执行的操作对应的用户收益的累加和;
计算单元,用于计算所述第一用户收益与所述累加用户收益之和,得到系统收益;
拦截单元,用于在所述系统收益小于系统阈值的情况下,拦截所述第一操作的执行。
作为一种可能的实现方式,所述装置还包括:
确定单元,用于在监测到第一操作的情况下,确定电子设备的当前使用场景;
所述获取单元,还用于根据使用场景与系统阈值的对应关系,获取所述当前使用场景对应的系统阈值。
作为一种可能的实现方式,所述装置还包括:
设置单元,用于监测到第一操作之前,设置所有操作中每个操作对应的用户收益。
作为一种可能的实现方式,所述设置单元具体用于:
获取训练样本,所述训练样本包括多个恶意样本和多个非恶意样本;
提取所述训练样本包括的所有操作;
监测所述训练样本的执行过程,得到所述所有操作中每个操作出现在所述多个恶意样本和所述多个非恶意样本中的次数;
根据所述所有操作中每个操作出现在所述多个恶意样本和所述多个非恶意样本中的次数,计算所述所有操作中每个操作对应的用户收益。
作为一种可能的实现方式,所述设置单元提取所述训练样本包括的所有操作包括:
分析所述训练样本,得到所有行为链;
根据所述所有行为链监测所述训练样本的执行,得到执行链;
提取所述执行链包括的操作,得到所述训练样本包括的所有操作。
本发明实施例第三方面公开了一种操作拦截装置,包括处理器和存储器,所述处理器和所述存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于调用所述程序指令,执行本发明实施例第一方面或第一方面任一可能的实现方式公开的操作拦截方法。
本发明实施例第四方面公开了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行本发明实施例第一方面或第一方面任一可能的实现方式公开的操作拦截方法。
本发明实施例第五方面公开了一种应用程序,该应用程序用于在运行时执行本发明实施例第一方面或第一方面任一可能的实现方式公开的操作拦截方法。
本发明实施例中,在监测到第一操作的情况下,获取第一操作对应的用户收益和第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加用户收益,计算第一用户收益与累加用户收益之和得到系统收益,在系统收益小于系统阈值的情况下,拦截第一操作的执行。可见,可以根据操作对应的用户收益得到系统收益,之后根据系统收益以及系统阈值来确定该操作是否拦截,准确度较高,因此,可以提高安全性。此外,由于可以根据操作对应的用户收益和系统阈值自动确定操作是否拦截,不需要用户的参与,因此,可以提高处理速率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种操作拦截方法的流程示意图;
图2是本发明实施例公开的另一种操作拦截方法的流程示意图;
图3是本发明实施例公开的一种操作拦截装置的结构示意图;
图4是本发明实施例公开的另一种操作拦截装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开一种操作拦截方法、装置及计算机可读存储介质,用于解决安全应用检测到操作后输出用于提示用户是否执行这个操作的提示信息时,由于大部分用户并不清楚该操作的作用,因此,无法给出准确的结果,以致无法起到安全保护的作用的问题。以下分别进行详细说明。
请参阅图1,图1是本发明实施例公开的一种操作拦截方法的流程示意图。其中,该操作拦截方法可以应用于安全应用,即安全软件。如图1所示,该操作拦截方法可以包括以下步骤。
101、在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益。
安全应用启动之后,可以实时监测是否存在要执行的操作,在监测到第一操作,即监测到存在要执行的第一操作的情况下,可以获取第一操作对应的用户收益和累加用户收益。第一操作对应的用户收益为第一操作被执行后用户能够得到的收益。累加用户收益为第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加和。此处的样本可以为恶意样本,也可以为非恶意样本。
由于样本中第一操作执行对系统的影响不但是第一操作对系统的影响,这个样本中第一操作前已经执行的操作也会对系统产生影响,因此,在获取第一操作对应的用户收益的同时,也需要获取累加用户收益,也即样本中与第一操作相邻的上一个操作的系统收益。一个样本可以包括一个操作,也可以包括多个操作。在样本包括一个操作的情况下,累加用户收益为0。在样本包括多个操作的情况下,如果第一操作为样本包括的操作中第一个执行的操作,则累加用户收益也为0。
102、计算第一用户收益与累加用户收益之和得到系统收益。
获取到第一操作对应的用户收益和累加用户收益之后,可以计算第一用户收益与累加用户收益之和得到系统收益。
103、在系统收益小于系统阈值的情况下,拦截第一操作的执行。
计算出第一用户收益与累加用户收益之和得到系统收益之后,可以判断系统收益是否小于系统阈值,在判断出系统收益小于系统阈值的情况下,表明第一操作的执行对系统和用户无益,可以拦截第一操作的执行,即不执行第一操作以及样本中第一操作之后的操作。在判断出系统收益大于或等于系统阈值的情况下,表明第一操作的执行对系统和用户有益,不拦截第一操作的执行,即允许第一操作的执行。
在判断出系统收益大于或等于系统阈值的情况下,可以继续判断是否执行完样本包括的所有操作,在判断出执行完样本包括的所有操作的情况下,表明样本已执行完,可以丢弃系统收益。在判断出未执行完样本包括的所有操作的情况下,可以存储系统收益,以便在确定样本中与第一操作相邻的下一个操作是否需要拦截的时候可以使用。
在图1所描述的操作拦截方法中,在监测到第一操作的情况下,获取第一操作对应的用户收益和第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加用户收益,计算第一用户收益与累加用户收益之和得到系统收益,在系统收益小于系统阈值的情况下,拦截第一操作的执行。可见,可以根据操作对应的用户收益得到系统收益,之后根据系统收益以及系统阈值来确定该操作是否拦截,准确度较高,因此,可以提高安全性。此外,由于可以根据操作对应的用户收益和系统阈值自动确定操作是否拦截,不需要用户的参与,因此,可以提高处理速率。
请参阅图2,图2是本发明实施例公开的另一种操作拦截方法的流程示意图。其中,该操作拦截方法可以应用于安全应用,即安全软件。如图2所示,该操作拦截方法可以包括以下步骤。
201、设置所有操作中每个操作对应的用户收益。
可以在安全应用中设置所有操作中每个操作对应的用户收益,可以是在安全应用开发时设置的,也可以是在安全应用安装时设置的,还可以是在安全应用安装之后设置的,在此不加限定。操作可以包括注入、起服务、自启动、自删除等。操作对应的用户收益可以是自动设置的,也可以是用户设置的。在用户设置的情况下,可以是安全应用开发人员根据经验通过手动设置的。
在自动设置的情况下,可以使用数据挖掘统计的方案来实现。具体地,可以获取包括多个恶意样本和多个非恶意样本的训练样本,之后提取训练样本包括的所有操作,之后监测训练样本的执行过程得到所有操作中每个操作出现在这多个恶意样本和这多个非恶意样本中的次数,之后根据所有操作中每个操作出现在这多个恶意样本和这多个非恶意样本中的次数计算所有操作中每个操作对应的用户收益。
举例说明,获取200万个训练样本,包括100万个恶意样本和100万个非恶意样本(即正常样本)。100万个恶意样本可以标记为黑样本,100万个正常样本可以标记为白样本。之后从200万个训练样本中提取这200万个训练样本包括的所有操作。监测200万个训练样本的执行过程,可以得到第一操作出现在100万个黑样本中的次数为1000次,出现在100万个白样本中的次数为100次,第一操作对应的收益可以为(-1*1000+1*100)/(1000+100)*100=-81。其中,-1*1000可以认为样本的收益,即样本中第一操作被阻断的收益,1*100可以认为安全应用的收益,即安全应用拦截第一操作带来的潜在收益。
在提取训练样本包括的所有操作时,可以先分析训练样本得到所有行为链,即静态分析训练样本得到所有行为链,也即通过对训练样本进行反汇编得到所有行为链。之后根据所有行为链监测训练样本的执行得到执行链。之后提取执行链包括的操作得到训练样本包括的所有操作。行为链为样本包括的所有操作流程组成的链。执行链为行为链中会执行的操作流程组成的链,即样本包括的所有操作流程会执行的操作流程组成的链。
202、在监测到第一操作的情况下,确定电子设备的当前使用场景。
203、根据使用场景与系统阈值的对应关系,获取当前使用场景对应的系统阈值。
电子设备的使用场景不同,电子设备对安全性的要求不同。因此,可以对电子设备的不同使用场景设置不同的系统阈值。例如,在电子设备处于网购场景或转账场景的情况下,为了保护金额等私密信息,电子设备对安全性的要求较高,可以设置较小的系统阈值,以便可以提高电子设备的安全性。在电子设备处于空闲场景的情况下,对安全性的要求较低,可以设置较大的系统阈值,以便可以提升电子设备的兼容性。电子设备即安全应用所安装的设备。
安全应用启动之后,可以实时监测是否存在要执行的操作,在监测到第一操作,即监测到存在要执行的第一操作的情况下,可以先确定电子设备的当前使用场景。之后可以根据使用场景与系统阈值的对应关系,获取当前使用场景对应的系统阈值。
204、获取第一操作对应的用户收益和累加用户收益。
在监测到第一操作,即监测到存在要执行的第一操作的情况下,可以获取第一操作对应的用户收益和累加用户收益。第一操作对应的用户收益为第一操作被执行后用户能够得到的收益。累加用户收益为第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加和。此处的样本可以为恶意样本,也可以为非恶意样本。其中,步骤202和步骤203与步骤204可以并行执行,也可以串行执行,但串行执行的速度更快。
由于样本中第一操作执行对系统的影响不但是第一操作对系统的影响,这个样本中第一操作前已经执行的操作也会对系统产生影响,因此,在获取第一操作对应的用户收益的同时,也需要获取累加用户收益,也即样本中与第一操作相邻的上一个操作的系统收益。一个样本可以包括一个操作,也可以包括多个操作。在样本包括一个操作的情况下,累加用户收益为0。在样本包括多个操作的情况下,如果第一操作为样本包括的操作中第一个执行的操作,则累加用户收益也为0。
205、计算第一用户收益与累加用户收益之和得到系统收益。
获取到第一操作对应的用户收益和累加用户收益之后,可以计算第一用户收益与累加用户收益之和得到系统收益。
206、在系统收益小于系统阈值的情况下,拦截第一操作的执行。
计算出第一用户收益与累加用户收益之和得到系统收益之后,可以判断系统收益是否小于系统阈值,在判断出系统收益小于系统阈值的情况下,表明第一操作的执行对系统和用户无益,可以拦截第一操作的执行,即不执行第一操作以及样本中第一操作之后的操作。在判断出系统收益大于或等于系统阈值的情况下,表明第一操作的执行对系统和用户有益,不拦截第一操作的执行,即允许第一操作的执行。
在判断出系统收益大于或等于系统阈值的情况下,可以继续判断是否执行完样本包括的所有操作,在判断出执行完样本包括的所有操作的情况下,表明样本已执行完,可以丢弃系统收益。在判断出未执行完样本包括的所有操作的情况下,可以存储系统收益,以便在确定样本中与第一操作相邻的下一个操作是否需要拦截的时候可以使用。
在图2所描述的操作拦截方法中,可以根据预先设置的操作对应的用户收益得到系统收益,之后根据系统收益以及系统阈值来确定该操作是否拦截,准确度较高,因此,可以提高安全性。此外,由于可以根据操作对应的用户收益和系统阈值自动确定操作是否拦截,不需要用户的参与,因此,可以提高处理速率。此外,针对不同使用场景可以设置不同的系统阈值,可以提高灵活性。
请参阅图3,图3是本发明实施例公开的一种操作拦截装置的结构示意图。其中,操作拦截装置可以设置在电子设备上,操作拦截装置可以为安装在电子设备上的安全应用。如图3所示,该操作拦截装置可以包括:
获取单元301,用于在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,第一操作对应的用户收益为第一操作被执行后用户能够得到的收益,累加用户收益为第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加和;
计算单元302,用于计算第一用户收益与累加用户收益之和,得到系统收益;
拦截单元303,用于在系统收益小于系统阈值的情况下,拦截第一操作的执行。
在一个实施例中,该操作拦截装置还可以包括:
确定单元304,用于在监测到第一操作的情况下,确定电子设备的当前使用场景;
获取单元301,还用于根据使用场景与系统阈值的对应关系,获取当前使用场景对应的系统阈值。
在一个实施例中,该操作拦截装置还可以包括:
设置单元305,用于监测到第一操作之前,设置所有操作中每个操作对应的用户收益。
在一个实施例中,设置单元305具体用于:
获取训练样本,训练样本包括多个恶意样本和多个非恶意样本;
提取训练样本包括的所有操作;
监测训练样本的执行过程,得到所有操作中每个操作出现在多个恶意样本和多个非恶意样本中的次数;
根据所有操作中每个操作出现在多个恶意样本和多个非恶意样本中的次数,计算所有操作中每个操作对应的用户收益。
在一个实施例中,设置单元305提取训练样本包括的所有操作包括:
分析训练样本,得到所有行为链;
根据所有行为链监测训练样本的执行,得到执行链;
提取执行链包括的操作,得到训练样本包括的所有操作。
可以理解的是,本实施例的操作拦截装置的获取单元301、计算单元302、拦截单元303、确定单元304和设置单元305的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
请参阅图4,图4是本发明实施例公开的另一种操作拦截装置的结构示意图。其中,该操作拦截装置可以设置在电子设备上。如图4所示,该操作拦截装置可以包括处理器401、存储器402和总线403,处理器401和存储器402通过总线403连接。其中:
存储器402用于存储一组计算机程序,计算机程序包括程序指令,处理器401用于调用该程序指令执行以下步骤:
在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,第一操作对应的用户收益为第一操作被执行后用户能够得到的收益,累加用户收益为第一操作对应的样本中第一操作之前被执行的操作对应的用户收益的累加和;
计算第一用户收益与累加用户收益之和,得到系统收益;
在系统收益小于系统阈值的情况下,拦截第一操作的执行。
在一个实施例中,处理器401还用于调用该程序指令执行以下步骤:
在监测到第一操作的情况下,确定电子设备的当前使用场景;
根据使用场景与系统阈值的对应关系,获取当前使用场景对应的系统阈值。
在一个实施例中,处理器401还用于调用该程序指令执行以下步骤:
监测到第一操作之前,设置所有操作中每个操作对应的用户收益。
在一个实施例中,处理器401设置所有操作中每个操作对应的用户收益包括:
获取训练样本,训练样本包括多个恶意样本和多个非恶意样本;
提取训练样本包括的所有操作;
监测训练样本的执行过程,得到所有操作中每个操作出现在多个恶意样本和多个非恶意样本中的次数;
根据所有操作中每个操作出现在多个恶意样本和多个非恶意样本中的次数,计算所有操作中每个操作对应的用户收益。
在一个实施例中,处理器401提取训练样本包括的所有操作包括:
分析训练样本,得到所有行为链;
根据所有行为链监测训练样本的执行,得到执行链;
提取执行链包括的操作,得到训练样本包括的所有操作。
在一个实施例中,该操作拦截装置还可以包括输入装置404,其中:
输入装置404,用于接收用户输入的信息。
在一个实施例中,该操作拦截装置还可以包括输出装置405,其中:
输出装置405,用于输出信息。
该操作拦截装置的详细描述可以根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
其中,步骤101-步骤103,以及步骤201-步骤206可以由该操作拦截装置中的处理器401和存储器402来执行。
其中,获取单元301、计算单元302、拦截单元303、确定单元304和设置单元305可以由操作拦截装置中的处理器401和存储器402来实现。
在一个实施例中公开了一种存储介质,该存储介质存储有计算机程序,计算机程序包括程序指令,程序指令当被处理器执行时使处理器执行图1和图2的操作拦截方法。
在一个实施例中公开了一种应用程序,该应用程序用于在运行时执行图1和图2的操作拦截方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random AccessMemory,RAM)、磁盘或光盘等。
以上对本发明实施例进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种操作拦截方法,其特征在于,包括:
在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,所述第一操作对应的用户收益为所述第一操作被执行后用户能够得到的收益,所述累加用户收益为所述第一操作对应的样本中所述第一操作之前被执行的操作对应的用户收益的累加和;
计算所述第一用户收益与所述累加用户收益之和,得到系统收益;
在所述系统收益小于系统阈值的情况下,拦截所述第一操作的执行。
2.根据权利要求1所述的方法,其特征在于,在监测到第一操作的情况下,所述方法还包括:
确定电子设备的当前使用场景;
根据使用场景与系统阈值的对应关系,获取所述当前使用场景对应的系统阈值。
3.根据权利要求1或2所述的方法,其特征在于,所述监测到第一操作之前,所述方法还包括:
设置所有操作中每个操作对应的用户收益。
4.根据权利要求3所述的方法,其特征在于,所述设置所有操作中每个操作对应的用户收益包括:
获取训练样本,所述训练样本包括多个恶意样本和多个非恶意样本;
提取所述训练样本包括的所有操作;
监测所述训练样本的执行过程,得到所述所有操作中每个操作出现在所述多个恶意样本和所述多个非恶意样本中的次数;
根据所述所有操作中每个操作出现在所述多个恶意样本和所述多个非恶意样本中的次数,计算所述所有操作中每个操作对应的用户收益。
5.根据权利要求4所述的方法,其特征在于,所述提取所述训练样本包括的所有操作包括:
分析所述训练样本,得到所有行为链;
根据所述所有行为链监测所述训练样本的执行,得到执行链;
提取所述执行链包括的操作,得到所述训练样本包括的所有操作。
6.一种操作拦截装置,其特征在于,包括:
获取单元,用于在监测到第一操作的情况下,获取第一操作对应的用户收益和累加用户收益,所述第一操作对应的用户收益为所述第一操作被执行后用户能够得到的收益,所述累加用户收益为所述第一操作对应的样本中所述第一操作之前被执行的操作对应的用户收益的累加和;
计算单元,用于计算所述第一用户收益与所述累加用户收益之和,得到系统收益;
拦截单元,用于在所述系统收益小于系统阈值的情况下,拦截所述第一操作的执行。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于在监测到第一操作的情况下,确定电子设备的当前使用场景;
所述获取单元,还用于根据使用场景与系统阈值的对应关系,获取所述当前使用场景对应的系统阈值。
8.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
设置单元,用于监测到第一操作之前,设置所有操作中每个操作对应的用户收益。
9.一种操作拦截装置,其特征在于,包括处理器和存储器,所述处理器和所述存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于调用所述程序指令执行如权利要求1-5任一项所述的操作拦截方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-5任一项所述的操作拦截方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911206755.6A CN110955895B (zh) | 2019-11-29 | 2019-11-29 | 一种操作拦截方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911206755.6A CN110955895B (zh) | 2019-11-29 | 2019-11-29 | 一种操作拦截方法、装置及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110955895A true CN110955895A (zh) | 2020-04-03 |
CN110955895B CN110955895B (zh) | 2022-03-29 |
Family
ID=69979212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911206755.6A Active CN110955895B (zh) | 2019-11-29 | 2019-11-29 | 一种操作拦截方法、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110955895B (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101556608A (zh) * | 2009-02-27 | 2009-10-14 | 浙大网新科技股份有限公司 | 一种基于事件监控机制的文件系统操作拦截方法 |
CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
CN101872400A (zh) * | 2009-04-24 | 2010-10-27 | 汪家祥 | 建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 |
CN102360408A (zh) * | 2011-09-28 | 2012-02-22 | 国家计算机网络与信息安全管理中心 | 恶意代码的检测方法及其系统 |
CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
CN104598815A (zh) * | 2013-10-30 | 2015-05-06 | 贝壳网际(北京)安全技术有限公司 | 恶意广告程序的识别方法、装置及客户端 |
WO2015101044A1 (zh) * | 2013-12-30 | 2015-07-09 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
CN106657545A (zh) * | 2015-10-29 | 2017-05-10 | 中兴通讯股份有限公司 | 拦截推送信息的方法、装置及终端 |
US20180227321A1 (en) * | 2017-02-05 | 2018-08-09 | International Business Machines Corporation | Reputation score for newly observed domain |
US20180255022A1 (en) * | 2017-03-01 | 2018-09-06 | Cujo LLC | Detecting malicious network addresses within a local network |
CN109241733A (zh) * | 2018-08-07 | 2019-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 基于Web访问日志的爬虫行为识别方法及装置 |
CN109784046A (zh) * | 2018-12-07 | 2019-05-21 | 中国人民解放军战略支援部队航天工程大学 | 一种恶意软件检测方法、装置与电子设备 |
CN109886021A (zh) * | 2019-02-19 | 2019-06-14 | 北京工业大学 | 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法 |
CN110297814A (zh) * | 2019-05-22 | 2019-10-01 | 中国平安人寿保险股份有限公司 | 数据库操作的性能监控方法、装置、设备及存储介质 |
-
2019
- 2019-11-29 CN CN201911206755.6A patent/CN110955895B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101556608A (zh) * | 2009-02-27 | 2009-10-14 | 浙大网新科技股份有限公司 | 一种基于事件监控机制的文件系统操作拦截方法 |
CN101872400A (zh) * | 2009-04-24 | 2010-10-27 | 汪家祥 | 建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 |
CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
CN102360408A (zh) * | 2011-09-28 | 2012-02-22 | 国家计算机网络与信息安全管理中心 | 恶意代码的检测方法及其系统 |
CN102855430A (zh) * | 2012-08-23 | 2013-01-02 | 福建升腾资讯有限公司 | 基于Windows系统的进程黑白名单控制方法 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
CN104598815A (zh) * | 2013-10-30 | 2015-05-06 | 贝壳网际(北京)安全技术有限公司 | 恶意广告程序的识别方法、装置及客户端 |
WO2015101044A1 (zh) * | 2013-12-30 | 2015-07-09 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
CN106657545A (zh) * | 2015-10-29 | 2017-05-10 | 中兴通讯股份有限公司 | 拦截推送信息的方法、装置及终端 |
US20180227321A1 (en) * | 2017-02-05 | 2018-08-09 | International Business Machines Corporation | Reputation score for newly observed domain |
US20180255022A1 (en) * | 2017-03-01 | 2018-09-06 | Cujo LLC | Detecting malicious network addresses within a local network |
CN109241733A (zh) * | 2018-08-07 | 2019-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 基于Web访问日志的爬虫行为识别方法及装置 |
CN109784046A (zh) * | 2018-12-07 | 2019-05-21 | 中国人民解放军战略支援部队航天工程大学 | 一种恶意软件检测方法、装置与电子设备 |
CN109886021A (zh) * | 2019-02-19 | 2019-06-14 | 北京工业大学 | 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法 |
CN110297814A (zh) * | 2019-05-22 | 2019-10-01 | 中国平安人寿保险股份有限公司 | 数据库操作的性能监控方法、装置、设备及存储介质 |
Non-Patent Citations (7)
Title |
---|
HODA EL MERABET: "A Survey of Malware Detection Techniques based on Machine Learning", 《(IJACSA) INTERNATIONAL JOURNAL OF ADVANCED COMPUTER SCIENCE AND APPLICATIONS》 * |
KHALED F ALOTAIBI: "Detection of Cyber Attacks with Access to Partial Data in Power System Using Spy Nodes", 《2016 IEEE INTERNATIONAL CONFERENCE ON ELECTRO INFORMATION TECHNOLOGY(EIT)》 * |
刘亚姝: "信息密度增强的恶意代码可视化与自动分类方法", 《清华大学学报(自然科学版)》 * |
深信服科技: "纯干货 | 网络安全态势洞察报告2019-05", 《HTTPS://WWW.SANGFOR.COM.CN/NEWS-CENTER/NEWS-LIST/2019/06/1462》 * |
芦效峰: "基于API序列特征和统计特征组合的恶意样本检测框架", 《清华大学学报 ( 自然科学版)》 * |
荣俸萍: "MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测", 《计算机科学》 * |
陈建民: "基于行为的移动应用程序安全检测方法研究", 《计算机工程与设计》 * |
Also Published As
Publication number | Publication date |
---|---|
CN110955895B (zh) | 2022-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
CN111818066A (zh) | 一种风险检测方法及装置 | |
CN112307464A (zh) | 诈骗识别方法、装置及电子设备 | |
CN106874758A (zh) | 一种识别文档代码的方法和装置 | |
CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
CN106789973B (zh) | 页面的安全性检测方法及终端设备 | |
CN114826639B (zh) | 基于函数调用链跟踪的应用攻击检测方法及装置 | |
CN111753302A (zh) | 检测代码漏洞的方法、装置、计算机可读介质及电子设备 | |
CN114785567A (zh) | 一种流量识别方法、装置、设备及介质 | |
CN110955895B (zh) | 一种操作拦截方法、装置及计算机可读存储介质 | |
CN113468524A (zh) | 基于rasp的机器学习模型安全检测方法 | |
CN112966264A (zh) | Xss攻击检测方法、装置、设备及机器可读存储介质 | |
CN112395603B (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
CN112231697A (zh) | 第三方sdk行为的检测方法、装置、介质及电子设备 | |
CN111880942A (zh) | 一种网络威胁处理方法及装置 | |
CN108509796B (zh) | 一种风险性的检测方法及服务器 | |
JP7180765B2 (ja) | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム | |
CN111190813B (zh) | 基于自动化测试的安卓应用网络行为信息提取系统及方法 | |
CN114491528A (zh) | 恶意软件的检测方法、装置和设备 | |
CN109271781B (zh) | 一种基于内核的应用程序获取超级权限行为检测方法与系统 | |
CN111240696A (zh) | 移动恶意程序相似模块提取方法 | |
CN112449062B (zh) | 恶意扣费的识别方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20231122 Address after: Room 2322-9, Zone C, 23rd Floor, No. 108 Huitong Third Road, Hengqin New District, Zhuhai City, Guangdong Province, 519000 Patentee after: Zhuhai Mingting Technology Co.,Ltd. Address before: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee before: Zhuhai Leopard Technology Co.,Ltd. |
|
TR01 | Transfer of patent right |